Menkul Kıymetler ve Borsa Komisyonu’nun kabul etmesinden haftalar sonra yeni siber güvenlik ifşa kuralları, ABD’de ve yurt dışında halka açık şirketler, yüksek hesap verebilirlik seviyelerine hazırlanmak için iç güvenlik uygulamalarını ve yönetişimi yeniden değerlendiriyor.
Tartışmalı bir açık duruşmanın ardından, SEC yeni kurallar için 3-2 oy kullandı şirketlerin maddi siber olayları ajansa ifşa etmesini gerektiren. Şirketlerin, iş için önemli olduğunu belirledikten sonra olayı SEC’e bildirmek için dört iş günü olacak.
içine girecek kurallar 5 Eylül’de yürürlüğe girdiyatırımcıların ve diğer kamuoyunun bu olaylar hakkında çok daha zamanında ve tutarlı bir şekilde bilgilendirilmesini sağlamak için tasarlanmıştır.
SEC Başkanı Gary Gensler, bir şirketin bir fabrikayı bir yangında işletme için önemli sayılabilecek bir şekilde kaybetmesi durumunda ve milyonlarca dosyanın bir siber saldırı nedeniyle kaybedilmesinin de aynı düzeyde önemlilikle ele alınması gerektiğini söyledi.
“İster malzeme fabrikası olsun [incident] veya önemli bir siber güvenlik olayı, açıklamasını denetlediğimiz yatırım kararları için önemli olabilir,” dedi Gensler 26 Temmuz’daki açık toplantıda.
Uzun yıllar boyunca, ajansın açıklama gereklilikleri “değişen zamanlarda yatırımcıların ihtiyaçlarını karşılamak için gelişti” dedi.
SEC, ulusal güvenlik ve özel bilgilerin açıklanmasıyla ilgili endişeleri takiben çok sayıda düzenleme yaptı. Nihai kural, yatırımcılara kurumsal verilerin güvenliği ve müşteri bilgilerinin olası kaybı hakkında zamanında bilgi sağlamak için tasarlanmış katı bir program içermektedir.
PwC ABD’de siber, risk ve düzenleyici pazarlama lider ortağı Joe Nocera, “Genel olarak, SEC birçok alanda uyumluluğu düzene sokmaya çalıştığından, işletmeler kurallardaki değişikliklerden heyecan duymalıdır” dedi. “Ancak olayların dört iş günü içinde açıklanması zorunluluğu şirketler için ağır bir yük olacaktır.”
Düzenleyici değişikliğe yönelik baskı, federal yetkililerin olay sonrasında şeffaflığın olmaması konusundaki endişelerini dile getirmesinin ardından ortaya çıktı. SolarWinds’e Sunburst kötü amaçlı yazılım saldırısı2020’de halka açık bir BT izleme yazılımı sağlayıcısı ve fidye yazılımı saldırısı Sömürge Boru Hattı2021’de yakın bir akaryakıt tedarikçisi.
tarafından yayınlanan bir 2022 raporu Senatör Gary PetersD-Mich., fidye yazılımı saldırılarının %75’inden fazlasının bildirilmediğini gösterirken, SEC ve diğer düzenleyiciler şirketlerin sık sık zamanında açıklama yapamadı maddi ihlaller ve saldırılar hakkında.
Gartner, Eylül 2022’de yayınlanan bir raporda, halka açık şirketlerin 2021’de ifşa ettikleri ihlallerin %43’ünden daha azını SEC’e bildirdiklerini kaydetti.
Gartner, şirketlerin olayı düzenleyici kuruma bildirmesinin 2020’de ortalama 60,6 günden ortalama 79,8 gün sürdüğünü buldu.
Ancak Gartner, şirketlerin yatırımcı güvenini korumak istiyorlarsa bu kadar tutarsız ve düzensiz bir raporlama modelini sürdürmeyi beklememeleri gerektiğini söyledi. Bunun yerine kuruluşlar, bir saldırıya veya ihlale hızlı bir şekilde yanıt verip veremeyeceklerini belirlemek için olay müdahale planlarının ve siber güvenlik kontrollerinin iç denetimlerini gerçekleştirmelidir.
Güvenliği kurula götürmek
Pek çok şirket, yeni kural kapsamında güvenlik operasyon ekipleri, C-suite ve yönetim kurulu arasındaki mevcut ilişkilerini yeniden değerlendirmek zorunda kalacak.
Yönetim kurulu ve yatırımcı ilişkileri kollarının devam eden siber riskten tamamen haberdar olmasını sağlamak için CISO’ların şirketlerinin üst kademeleriyle daha doğrudan ve sık iletişim kurması gerekecek.
“Önemli etkiyi belirlemeye yönelik operasyonel titizlik ve olay müdahalesini kolaylaştırma, birçok kamu şirketi için acımasız ve pahalı olacak” George Gerchow, Sumo Logic’te BT CSO’su ve Kıdemli Başkan Yardımcısı ve IANS’ta öğretim üyesie-posta yoluyla söyledi.
Kötü amaçlı tehdit etkinliğinin hızla çoğalması, şirketlerin bu tehditlere yalnızca güvenlik operasyonları ekibinin ötesinde her düzeyde yanıt vermeye hazır olması gerektiği anlamına gelir.
Mandiant’ın siber kriz iletişim uygulama lideri Jennifer Burnside, e-posta yoluyla, “Yeni SEC kuralları, zaten karmaşık olan bir müdahale sürecine ek hususlar ekliyor ve şirketler bir siber olay sırasında teknik olmayan kararlar alma konusunda daha iyi ve daha hızlı olmalı” dedi.
CISO’ların yeni yönergeleri hesaba katmak için kuruluşlarının olay müdahale planlarını güncellemeleri gerekecek. William Candrick, Gartner’da yönetmen analisti.
Candrick, e-posta yoluyla, “Siber güvenlik profesyonelleri, siber olayların önemli ve dolayısıyla rapor edilebilir hale gelip gelmediğini ve ne zaman rapor edilebilir hale gelip gelmediğini değerlendirmek için üst mercilere iletme yolları ve işbirlikçi süreçler oluşturmak üzere özellikle iç ve dış yasal işlevleriyle birlikte çalışmalıdır” dedi. “SEC’in yeni rehberliğinde gezinmek, diğerlerinin yanı sıra siber güvenlik, hukuk, yatırımcı ilişkileri ve iş liderliği alanlarında işlevler arası bir takım sporu haline gelecek.”
Hızlı olay raporlamanın ötesinde, yeni SEC kuralları, yönetim ve yönetim kurulu düzeyinde siber güvenlik gözetimi hakkında yıllık raporlama yapılmasını gerektiriyor. Şirketlerin siber güvenlik risklerini değerlendirmek için dahili süreçleri ifşa etmesi ve maddi riskleri nasıl değerlendirdiklerine dair bilgi sağlaması gerekecek.
SEC kuralları, yatırım topluluğunun kurumsal siber güvenliğe daha fazla ilgi duymasıyla ortaya çıktı. Yatırım topluluğu, üst yönetimi yalnızca siber olaylara verdikleri yanıtlardan değil, aynı zamanda siber risk hazırlıkları ve gözetiminden sorumlu tutuyor.
“Yatırımcılar, CEO’nun ve güvenlik ekibinin – CISO, CIO, CFO, [general counsel] – bir siber olayın sorumluluğunu üstlenmek,” dedi özel sermaye şirketi Option3’ün ortağı Lisa Donnan e-posta yoluyla. “Yatırımcılar, tıpkı SEC gibi, şirketin siber güvenlik risk değerlendirme programıyla bağlantılı olarak danışmanlarla mı yoksa üçüncü taraflarla mı çalıştığını bilmek istiyor.”
Bu yeni kuralların uygulanmasından önce bile SEC, şirketleri zayıf gözetim veya yatırımcıları mevcut siber riskler hakkında yanıltıcı olmaktan sorumlu tutuyor.
SEC, Mart ayında bir Yazılım firması Blackbaud ile 3 milyon dolarlık anlaşma 2020 fidye yazılımı soruşturmasının kapsamı hakkında yanıltıcı açıklamalar yaptığı için.
Haziran sonunda SEC bildirdi SolarWinds’in CFO’su ve olası sivil yaptırımların CISO’su şirketin dahili siber güvenlik kontrolleri ve ifşasıyla ilgili menkul kıymet ihlalleri iddiasıyla dava.
SolarWinds, sektörle bilgi paylaşmak için federal yetkililerle aktif olarak çalıştı ve uygunsuz eylemleri şiddetle reddederken daha önce duyurulan soruşturmada işbirliği yaptı.
Şirketin bir sözcüsü Cybersecurity Dive’a e-posta yoluyla “SolarWinds, giderek daha karmaşık hale gelen siber tehditlerle mücadele etmek ve tüm yazılım endüstrisinin güvenliğini artırmak için şeffaf bilgi paylaşımını ve güçlü kamu-özel sektör ortaklıklarını güçlü bir şekilde destekliyor” dedi. “Bu nedenle, Sunburst olayı hakkında müşterilerle ve pazarla hızlı, sürekli ve açık bir şekilde iletişim kurduk.”
CISO’lar için en yüksek riskli alanlardan biri, özellikle eski Uber CSO’sunun bir fidye yazılımı ödemesini örtbas etmekten mahkûm edilmesi ve SolarWinds CFO’su ve CISO’nun eylemlerine ilişkin yukarıda bahsedilen SEC sivil soruşturması ışığında, kişisel sorumluluk meselesidir. saldırı sırasında güvenlikten sorumlu başkan yardımcısıydı.
Proofpoint’in Mayıs ayı raporu, CISO’ların %60’ından fazlasının siber olaylar ve kurumsal yönetişim sorunlarıyla ilgili kişisel sorumluluktan korktuğunu gösteriyor. Benzer bir sayı, bir tür yönetici ve memur sorumluluk kapsamı olmadan bir kuruluşa katılmayacağını söyledi.
Candrick, “SEC siber güvenlik raporlama kurallarının CISO’ları kişisel sorumluluğa maruz bırakacağına dair artan bir endişe var” dedi. “Sonuç olarak, bazı CISO’lar, özellikle herhangi bir finansal raporlamada CISO’nun adı geçiyorsa veya finansal raporlarda yapılan herhangi bir siber güvenlik beyanını resmi olarak doğrulaması gerekiyorsa, müdürlerin ve memurların sigortasına eklenmeyi tartışıyorlar.”
Hazırlanan şirketler, siber saldırılara en iyi nasıl yanıt verileceğini anlamak için olay müdahale planlarını güncelliyor, masa başı tatbikatlar yürütüyor ve uzlaşma ve kırmızı ekip değerlendirmeleri yapıyor.
Şirketlerin CISO’ları, yönetim kurulları ve üst düzey liderlik ekipleri arasında bir uyum oluşturması gerekiyor. Alvarez & Marsal’da genel müdür ve küresel siber risk başkanı Rocco Grillo.
Grillo e-posta yoluyla, “Bu kuruluşlar bunu yalnızca yasal bir gereklilik nedeniyle yapmıyor, aynı zamanda kurumsal risk yönetimi ve kritik varlıklarını korumaya yönelik yaklaşımları çok önemli olduğu için” dedi.
Gerchow’a göre birçok şirket, ticari operasyonları için önemli olup olmadıklarını belirlemek amacıyla siber saldırılara hızla yanıt verme sorumluluklarını üstlenmeye hazır değil..
Bazı şirketler, ağ güvenliğini sağlama ve olay müdahalesine hazırlanma konusunda titizliği sağlamanın bir yolu olarak yeni SEC kurallarını benimsiyor.
Schneider Electric ürün güvenliğinden sorumlu Başkan Yardımcısı ve enerji yönetiminden sorumlu ürün güvenliğinden sorumlu başkan yardımcısı Megan Samford e-posta yoluyla, “Herhangi bir günde, kritik altyapıları etkileyen doğal afetlerin olasılığını tahmin edebiliyoruz,” dedi. “Siber olaylar için benzer öngörülebilirliğe ve risk analizine sahip olduğumuz bir yere gitmemiz gerekiyor.”
Endüstri geri tepmesi
Bazı önemli endüstri grupları, bazıları ileride olası yasal zorluklara işaret etmekle birlikte, yeni düzenlemelere karşı çıkmaya devam ediyor.
bu Banka Politikası Enstitüsü SEC kuralını söyledi ajansın korumaya çalıştığı yatırımcılara zarar verecektir. Banka savunuculuğu kuruluşu, kuralın kötü niyetli aktörlere şirketleri daha fazla saldırı tehlikesine sokacak hassas bilgiler sağlayacağından endişe ediyor.
ABD Ticaret Odası, yeni kuralın, şirketlerin diğer kritik sektör sağlayıcılarına yönelik gelecekteki saldırıları önlemeye yardımcı olmak için siber olayları federal makamlara gizli bir şekilde bildirmesine izin veren Kritik Altyapı için Siber Olay Raporlama Yasasında üzerinde anlaşmaya varılan önceki yetkileri ihlal ettiğini söyledi.
Siber, uzay ve ulusal güvenlik güvenlik politikasından sorumlu Kıdemli Başkan Yardımcısı Christopher Roberti, Ticaret Odası’nın yeni SEC kuralları hakkında “ciddi” endişeleri olduğunu söyledi. “Oda, bu kuralın etkisini ve ileriye dönük seçeneklerimizi dikkatli bir şekilde değerlendirmeye devam edecek.” Roberti 27 Temmuz’da yaptığı açıklamada şunları söyledi:.
İş organizasyonu, bu haftanın başlarında Gensler’e, kuralın uygulanmasında 12 aylık bir gecikme ve daha fazla endüstri diyaloğu talep eden bir mektup gönderdi.
SEC yetkilileri bu hikaye için yorum yapmaktan kaçındı.